Detecção e Contenção de Códigos Maliciosos e Mitigação de Riscos Dentro das Organizações
Certamente, é verdade que a ameaça representada por um código malicioso é grande. Também é verdade que devemos, absolutamente, procurar detectar códigos maliciosos em nossas redes e passar a contê-lo antes que eles venham a ocasionar qualquer tipo de dano, que poderiam gerar enormes transtornos dentro de nossas organizações. Entretanto, não devemos esquecer que existem muitas maneiras para que o núcleo de uma organização nem sempre seja atingido por incidentes, dentro dos quais a presença de malware seja a grande protagonista. Alguns exemplos disto inclui as seguintes situações:
SSH Brute Force
Muitas organizações têm servidores que permitem acesso externo (da Internet) via Secure Shell (SSH). Há muitas razões comerciais legítimas, pelas quais uma organização poderia permitir isso. A partir daí, quando as melhores práticas em torno de processos de autenticação e autorização não são seguidas (por exemplo, permissão de login como root de forma remota, o não bloqueio de contas após várias tentativas de falhas de login, etc), poderia levar a sérios problemas.
Malware nem Sempre Está Presente na Cena do Cybercrime
Se um atacante pode adivinhar com sucesso um nome de usuário e senha válidos para o servidor, a situação pode tornar-se muito grave. E uma vez presente no servidor, o atacante parece um usuário legítimo em um ativo legítimo sob a ótica de um observador casual. Além disso, o atacante também seria capaz de mover-se lateralmente para qualquer lugar dentro da organização, da mesma forma que um usuário legítimo no servidor também tivesse a mesma capacidade. Em uma situação como esta, não seria necessário a presença de nenhum malware para que um estrago fosse feito.
SQL Injection
Servidores da Web voltados ao público, muitas vezes executam aplicativos que estabelecem uma interface com bancos de dados. Esta é uma prática legítima e comum que, por vezes, pode ser feita de forma insegura ou de forma descuidada, por uma variedade de razões. Quando as aplicações Web estão vulneráveis, os atacantes podem "injetar" certos comandos de banco de dados para envios de formulários, dentre muitas outras ações apoiadas pelo HTTP.
Isso pode permitir que os atacantes possam visualizar os dados, alterar esses dados, alterar o conteúdo do site, e/ou até mesmo comprometer o sistema. A partir daí, o atacante pode direcionar os visitantes do site e/ou outros usuários desavisados a sites maliciosos externos, entre outras coisas que podem, perfeitamente, causar situações desagradáveis.
Roubo de Credenciais
Não é raro que as empresas mantenham conexões confiáveis ou tunnels VPN de organizações parceiras confiáveis. Se um invasor pode roubar credenciais de um parceiro de confiança, o invasor também pode usar essas credenciais para acessar os recursos da organização, através da conexão confiável do parceiro. A diferença entre o uso legítimo de credenciais por um parceiro e uso malicioso dessas mesmas credenciais por um atacante, é apenas o fator "intenção". Como sabemos, a intenção pode ser extremamente difícil para derivar os bits e bytes de forma individual. É a essência dos pesadelos, mas isso acontece bastante.
Ciclo de Respostas e Tratamento a Incidentes
Em face disso, é importante lembrar-se de colocar os recursos adequados para intrusões relacionados a não presença de malware. Mas, quais seriam algumas das possíveis maneiras de incorporar este aspecto em seu programa de segurança? De acordo com o executivo Joshua, tudo começa com uma relevante discussão, lembrando as primeiras quatro fases do ciclo de vida de respostas/tratamentos de incidentes: detecção, análise, contenção e reparação dos danos.
Detecção de Atividade Intrusiva sem Envolvimento de Malware
Detecção de atividade de intrusão que não envolve malware não é trivial. Dito isto, a viagem começa em dar total atenção para as incógnitas desconhecidas. Isso envolve a identificação de tráfego de rede ou atividade endpoint, que ao que tudo indica, está fora das normas do que seria esperado, e cuja verdadeira natureza é desconhecida. Este é um ponto importante - é um passo além da abordagem de "puramente detecção", que está baseada em assinaturas, com as quais muitas organizações estão familiarizadas.
Assinaturas são necessárias para a detecção de intrusão, mas elas não são suficientes. Além de tudo, existem algumas abordagens para a detecção de intrusões de malware que também vão muito além de ser unicamente baseadas em assinatura. Isso é uma coisa boa na opinião do executivo, e é uma atividade extremamente complementar. Embora a viagem para as incógnitas nos leve a um passo além da detecção baseada em assinaturas, a idéia de desenvolver conteúdo de alta fidelidade para preencher as lacunas da segurança permanece a mesma.
Abordagens, Direcionamentos e Melhorias nos Processos de Investigação
Vale lembrar que os exemplos de abordagens interessantes são muitos. A idéia de cada abordagem é a produção de "jumping off points" - eventos que dão a um analista um melhor horizonte, a partir de uma investigação focada e um fluxo de trabalho organizado em torno de cada evento específico. É durante este processo de investigação que o analista vai reunir endpoint, rede e outros dados, em uma tentativa de construir a narrativa em torno do que ocorreu.
A fase de análise e a montagem da narrativa, servem para permitir uma conclusão a ser tirada sobre a verdadeira natureza do tráfego. O tráfego deve ser qualificado, quer como suspeito, malicioso, benigno, ou desconhecido, e uma determinação deve ser gerada, caso alguma coisa precisar ser contida e remediada. Nesse contexto, vale ressaltar que, embora o malware seja uma ameaça constante e significativa para as organizações, ele não é a única ameaça que essas organizações enfrentam.
Intrusão, Malware e Respostas à Invasões
Intrusões que envolvem malware devem, absolutamente, ser detectadas e contidas em tempo hábil. Ao mesmo tempo, também é bom lembrar que nem todas as intrusões envolvem malware. Como tal, as organizações devem garantir que seus programas de segurança dediquem tempo suficiente para detectar e responder a invasões que não envolvem malware.
Saiba Mais:
[1] Security Week http://www.securityweek.com/not-all-...nvolve-malware